前两天|高通和联发科都在用的音乐编码格式前两天

前两天，世超看到一条新闻。
事儿说大也不大，总的来说就是你的安卓手机，可能成了一个远程窃听器。
只要一首歌的功夫，黑客就能黑掉一台安卓手机。

文章图片
你刚按下播放键，对方就已经获得了你的摄像头和麦克风权限。
不仅能窃听你的通话内容，甚至连你周围的声音都能监听到。。
这事波及范围还不小，目前全球可能有37%的手机，都暴露在这样的危险之下。
是不是突然有点不敢呼吸了，先别慌，听世超来解释一下到底发生了啥。

文章图片
前两天，一家以色列的IT公司CHECKPOINT ，发现高通和联发科都在使用的一种开源音乐编码格式，存在一个高危漏洞。

文章图片
这个漏洞可怕的地方在于，黑客可以通过一段错误格式的音频，实现远程代码执行（RCE）。
啥是远程代码执行，咱先不管。
问题是依靠这个漏洞，黑客可以在你手机里横行霸道。不光可以做到开头说的强制获取权限，还可以执行恶意软件或窃取数据。
而这件事真正魔幻的地方在于，倒大霉的安卓这回可能是被苹果坑了。。
因为高通和联发科都在用的这个音乐编码格式，其实是来自苹果。
一切的纠葛，咱还得从11年前的那天说起。
一向喜欢关起门来搞建设的果子哥，在听歌方面也没有例外。
2004年的时候，苹果弄了一个无损音乐编码格式AppleLossless ，又叫做AppleLosslessAudioCodec（下面简称ALAC），只允许自家的设备使用。

文章图片
别看它名字又臭又长，其实就是一种音频格式，类似于我们最熟悉的MP3 。
只不过， MP3是有损压缩，而ALAC是无损压缩，缩小文件大小的同时，还能保证音质。目前使用比较广泛的无损格式就FLAC和ALAC 。
本来如果一直封闭在苹果生态里，就没安卓这茬子事了。
【前两天|高通和联发科都在用的音乐编码格式】问题是， 2011年的时候，为了普适性（谁能想到，有一天果子哥也会考虑普适性问题），果子哥破天荒在GitHub上面开放了源代码，出了一个开源版ALAC 。
正是这次慷慨开源，很多非苹果的设备和播放器，都美美用上了无损格式，其中也包括Windows播放器。
而这次的主人公高通和联发科，更是直接将开源版ALAC代码移植到了自己的音频解码器里。

文章图片
然后，扯淡的事情就出现了。。
我们知道ALAC有两个版本。苹果自己使用的专利版，苹果一直在不断更新维护。类似的漏洞，苹果早就修复了。
而提供给其他厂商的开源版，这11年来，苹果作为开发者从来没有维护更新过它。
更扯的是，不光苹果懒得去管这个东西，高通和联发科也都坚定地奉行“拿来主义” ，只拿不修。
世超盲猜高通它们可能心里在想:
“谁要帮苹果维护啊，拿来直接用得了。 ”
ALAC的开源协议为Apache ，
所有使用者都可以对项目进行更改▼

文章图片
所以，高通和联发科都在使用一套11年来从没有更新过的代码。